Zabezpieczenie Formularza

Question

W mojej aplikacji w php potrzebuje pobrać od użytkownika długi ciąg znaków(około 4 000) i zapisać go w bazie danych. Problemem jest to, iż w tym ciągu znajduję się bardzo dużo znaków specjalnych które są wykorzystywane w sql injection. W jaki sposób mogę zabezpieczyć otrzymany ciąg przed wysłaniem go w zapytaniu do bazy danych?

Answer 1

Po prostu przekazuj argumenty do zapytania osobno (prepared statement) zamiast sklejać stringi. To jest standardowa praktyka od lat :)

Fundamentalnym źródłem wrażliwości na SQL injection są właśnie nie znaki specjalne, a sam fakt wklejania zmiennych prosto do stringa zapytania SQLowego.

Przykład z PDO (napisany na sucho):

$jakasLiczba = 150;
$jakisTekst = "jakis dlugi tekst?!:'"

$stmt = $pdo->prepare('INSERT INTO jakastablica (liczba, tekst) VALUES (?, ?)');
$stmt->execute([$jakasLiczba , $jakisTekst]);

// albo z nazwanymi argumentami:
$stmt = $pdo->prepare('INSERT INTO jakastablica (liczba, tekst) VALUES (:liczba, :tekst)');
$stmt->execute([
    'liczba' => $jakasLiczba,
    'tekst' => $jakisTekst
]);

 

Comments

Pamiętaj też, że zabezpieczenie bazy to tylko jeden z problemów, pytanie też czy np. planujesz wyświetlanie gdzieś client-side tych danych? I czy będą one np. jakoś przetwarzane przez jakiś system szablonów serwerowych?

Jeśli tak to musisz odpowiednio obsłużyć np. Server-side template injection, xss (jeśli wyświetlasz gdzieś to co user wpisał, w tym warto badać np. opcję drukowania z poziomu przeglądarki, gdzie też może odpalić się JS). Do tego musisz zadbać o odpowiednie zwalidowanie danych, np. w celu uniknięcia DoS na zasoby, np. próba zapchania bazy zapisywaniem bardzo długich ciągów znaków... pamiętaj, ze wszelkie walidacje client-side nic nie znaczą dla security bo można je banalnie łatwo obejść, np. nadpisując sobie na poziomie strony odpowiednie mechanizmy lub po prostu wysyłając request curlem czy też zapinając się Burpem itp.